Hallo Leute,

ich kann mir vorstellen, dass solche "Fälle" nerven - ich hab´ mal wieder einen hartnäckigen Fall einer gekaperten Startseite auf Win NT, die ich nicht entfernt bekomme - ich habe versucht, einige Punkte mit Hijack This zu fixen (bei NT im VGA-Modus, da es ja anscheinend keinen abgesicherten Modus gibt) - dennoch wird der Müll wieder hergestellt. Warum nur...

Hier das Hijack This-Log:

Logfile of HijackThis v1.99.0
Scan saved at 15:29:25, on 14.02.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Windows NT\HYPERTRM.EXE
D:\ROLAND\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: (no name) - {38C61784-4A8E-4F2D-8DE5-8556C4D5F5A1} - C:\WINNT\System32\gfik.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: exif launcher.lnk = C:\Programme\Windows NT\HYPERTRM.EXE
O18 - Filter: text/html - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/plain - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Compaq Local Alerter - Compaq Computer Corporation - C:\WINNT\System32\cpqalert.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent - Unknown - C:\WINNT\CPQDIAG\CPQDFWAG.EXE
O23 - Service: CPQDMI - Compaq Computer Corporation - C:\WINNT\System32\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent - Compaq Computer Corporation - C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Insight Manager LC Remote Management - Compaq Computer Corporation - C:\Programme\Compaq\LCRMS\LCRMS.EXE
O23 - Service: Win32sl - Intel - c:\dmi\win32\bin\Win32sl.exe

Gruß,

Carsten

ok.. dann gehe so vor:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor (ab da, bis "gehe in den normalen modus" im abgesicherten(vga) modus die sachen erledigen)

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
O2 - BHO: (no name) - {38C61784-4A8E-4F2D-8DE5-8556C4D5F5A1} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/html - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/plain - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll

3.dateien löschen
-lösche die datei gfik.dll im ordner c:\winnt\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

hallo Leute,

nochmals der Bleifreibiertrinker ...

konnte mein Problem leider nicht mir escan beheben!

Habe dann temporär die Zugriffsrechte auf die Registry geändert und so das Problem "gelöst" - heute dann mit XoftSpy von
http://www.paretologic.com/
die Sache endgültig in den Griff bekommen!

Für die Zukunft jedoch gibt es nur eines: IE -> FIREFOX !!!

Hallo,

escan habe ich gleich 2x durchlaufen konnte, weil ich dem Suchergebnis nicht vertraut habe - hatte keine Fehler gefunden (oder besser keine angezeigt).

Im Log habe ich folgende Meldungen zum Thema "infected" gefunden:

Fri Oct 15 12:22:08 2004 => File C:\WINNT\Downloaded Program Files\win.exe infected by "Trojan.Win32.StartPage.ol" Virus. Action Taken: File Deleted.

Fri Oct 15 13:13:05 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Oct 18 16:34:44 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Oct 18 16:35:19 2004 => File C:\TEMP\backups\backup-20041018-154659-662 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed

Fri Jan 28 13:23:48 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:23:52 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:25:07 2005 => File C:\WINNT\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:25:07 2005 => File C:\WINNT\System32\tmp.exe infected by "not-a-virus:AdWare.ToolBar.Perez.b" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:27:50 2005 => File C:\TEMP\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:29:00 2005 => File C:\WINNT\Profiles\Roland\TEMPOR~1\Content.IE5\GSTCU71P\on-line[1].exe infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:38:31 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:47:14 2005 => File C:\TEMP\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Fri Jan 28 14:09:26 2005 => File C:\msOinfo.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.

Mon Feb 14 14:02:58 2005 => C:\WINNT\se.dll possibly infected and removed by background antivirus package!

Mon Feb 14 14:03:02 2005 => File C:\WINNT\se.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

Mon Feb 14 15:16:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Feb 14 15:16:16 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR

Mon Feb 14 15:16:59 2005 => Result: ERROR!!! File C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR: Scanning Failure!!!

Mon Feb 14 15:16:59 2005 => ERROR!!! ScanFile fails for C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR

Mon Feb 14 15:17:26 2005 => File C:\Programme\IESearchToolbar\IESearchToolbar.dll infected by "not-a-virus:AdWare.ToolBar.Perez.b" Virus. Action Taken: No Action Taken.

Mon Feb 14 15:18:19 2005 => C:\RECYCLED\DC6026.DLL possibly infected and removed by background antivirus package!

Mon Feb 14 15:18:19 2005 => File C:\RECYCLED\DC6026.DLL infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.



Eine ganze Stange.... alte Möhre, der Sicherheitsstandard gehört geupdatet, ich weiß. Danke für die Hilfe.

Carsten